Für den Monat Dezember hat Microsoft nur zwei Security Bulletins veröffentlicht, die dazugehörigen Updates stopfen aber immerhin fünf Sicherheitslücken. Vier davon finden sich im Internet Explorer 6 wovon Microsoft im Bulletin MS05-054 allein drei als kritisch einstuft, da Angreifer damit ein Windows-System mit Schadcode infizieren können. Dazu zählt auch die Lücke, die zwar seit Juni bekannt ist, ursprünglich aber als unkritisch angesehen wurde, da man glaubte, dass sie nur zum Absturz des IE führt. Erst Ende November stellte sich heraus, dass sie sich doch zum Einschleusen und Ausführen von Code missbrauchen lässt. Dabei genügt allein der Aufruf einer präparierten Webseite. Der Trojaner Win32/Delf.DH nutzt die Lücke bereits aktiv aus.